FreeBSD 9 Jail - keine Verbindung nach "aussen"

[BoS]

Guten Morgen,

ich habe ein system auf 9.0 aufgesetzt und eine Jail einrichten wollen. Dabei kam es zu einer "Merkwürdigkeit":

- Namensauflösung und ping gehen
(NAT über pf eingerichtet - ohne Beschränkung!)

Fehlermeldung bei Ports installieren (ftp oder http) mit pkg_add bzw. unter /usr/ports/ mit make install

protocol not available (bzw. keine Verbindung nach aussen time out error)

Was habe ich da falsch gemacht?

Danke im Voraus,
BoS

 

[cla]

Vergessen resolv.conf Datei mit DNS Informationen zu befüllen?
ping geht aus Jail heraus nicht per default. Muss erst "erlaubt" werden.

 

[BoS]

raw_socket

sind erlaubt - sonst würde ping nicht gehen

resolv.conf ist "gefüllt" - Namensauflösung funktioniert
ping per Name funktioniert

das ist ja genau dass, was mich so konfus macht

BoS

<UPDATE>

ich hab mal das testen der üblichen "Verdächten" versucht:

telnet <hostname> <port>

response: Unable to connect to the remote host ???

</UPDATE>

 

[KobRheTilla]

was sagt denn

$ telnet www.bsdforen.de 80

Rob

 

[BoS]

was sagt denn

$ telnet www.bsdforen.de 80

trying to <ip-address>
und irgendwann time out


Rob

nur ping und dig ist kein Problem???

BoS

 

[mapet]

ansonsten mal auf allen beteiligten interfaces inklusive pflog0 ein tcpdump aufmachen und gucken, wo es hakt.

 

[BoS]

was sagt denn

$ telnet www.bsdforen.de 80

Rob

mom - mach ich mal

BoS

 

[KobRheTilla]

Poste mal deine /etc/pf.conf.

Rob

 

[BoS]

ansonsten mal auf allen beteiligten interfaces inklusive pflog0 ein tcpdump aufmachen und gucken, wo es hakt.

so:

1. DIG; <<>> DiG 9.8.1-P1 <<>> bsdforen.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60250
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;bsdforen.de. IN A

;; ANSWER SECTION:
bsdforen.de. 300 IN A 82.193.243.81

;; AUTHORITY SECTION:
bsdforen.de. 72318 IN NS ns2.bytecamp.net.
bsdforen.de. 72318 IN NS ns1.bytecamp.net.

;; ADDITIONAL SECTION:
ns1.bytecamp.net. 72318 IN A 212.204.60.4
ns2.bytecamp.net. 72318 IN A 212.204.49.83

;; Query time: 33 msec
;; SERVER: 10.1.1.31#53(10.1.1.31)
;; WHEN: Fri Aug 17 13:31:43 2012
;; MSG SIZE rcvd: 125


2. ping# ping bsdforen.de
PING bsdforen.de (82.193.243.81): 56 data bytes
64 bytes from 82.193.243.81: icmp_seq=0 ttl=59 time=37.027 ms
64 bytes from 82.193.243.81: icmp_seq=1 ttl=59 time=34.836 ms
64 bytes from 82.193.243.81: icmp_seq=2 ttl=59 time=35.121 ms
64 bytes from 82.193.243.81: icmp_seq=3 ttl=59 time=35.392 ms
^C
--- bsdforen.de ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 34.836/35.594/37.027/0.850 ms

3. traceroute
# traceroute bsdforen.de
traceroute to bsdforen.de (82.193.243.81), 64 hops max, 40 byte packets
1 niagara-falls-gw (10.254.222.122) 0.543 ms 0.432 ms 0.393 ms
2 dslb-088-072-048-001.pools.arcor-ip.net (88.72.48.1) 13.878 ms 13.423 ms 13.711 ms
3 88.79.25.37 (88.79.25.37) 21.175 ms 15.545 ms 25.687 ms
4 92.79.209.17 (92.79.209.17) 20.648 ms 22.765 ms 20.742 ms
5 bln-145-254-5-158.arcor-ip.net (145.254.5.158) 28.346 ms 28.267 ms 28.552 ms
6 82.82.24.142 (82.82.24.142) 30.293 ms 30.364 ms 30.376 ms
7 212.204.41.82 (212.204.41.82) 34.631 ms 34.288 ms 34.177 ms
8 * * *
9 * * *
10 * * *
11 * * *
12 *^C

Der Standardsatz geht.

Mit telnet bsdforen.de 80
geht lt. tcpdump nix aus dem jail heraus ??? Was'n hier los ????

BoS

<UPDATE>
nur die Namensauflösung arbeitet hier:
base.canada.de.domain > nova-scotia.canada.de.36502: [udp sum ok] 18132 q: A? www.bsdforen.de. 1/2/2 www.bsdforen.de. [5m] A 82.193.243.81 ns: bsdforen.de. [19h51m18s] NS ns2.bytecamp.net., bsdforen.de. [19h51m18s] NS ns1.bytecamp.net. ar: ns1.bytecamp.net. [19h51m18s] A 212.204.60.4, ns2.bytecamp.net. [19h51m18s] A 212.204.49.83 (129)

das ist alles
</UPDATE

pf.conf:

int_if1="re0"
int_if2="re1"
ext_if="fxp0"


nat on $ext_if inet from !$ext_if -> ($ext_if)

 

[BoS]

Ergänzung:

Fehler scheint in den NAT-Regeln zu stecken.
Die ftp und http Protokolle bleiben nur local

Was muss den dort ergänzt werdem, um den Rest der Welt zu erreichen ?

BoS

<UPDATE>

pkg_add oder make in den ports erzeugen nachfolgende

Fehlermeldung im jail: no route to host ???

ping und dig/nslookup funktioneiren ohne Einschränkung !

</UPDATE